Active Directory Group Policy Object(GPO)를 사용하여 윈도우 사용자들의 레지스트리 편집기(regedit.exe) 접근 차단하는 방법을 알려드리겠습니다. 이 설정은 시스템 보안 강화와 사용자의 실수로 인한 시스템 손상을 방지를 위해 필요합니다.
1. 레지스트리 편집기(regedit) 사용 금지 설정 방법
1.1 GPO 생성 및 편집
- 그룹 정책 관리 콘솔 실행
gpmc.msc명령어 또는 서버 관리자(Server Manager) → 도구(Tools) → 그룹 정책 관리(Group Policy Management)
- 새 GPO 생성
- 해당 도메인 또는 OU 우클릭 → “이 도메인에서 GPO를 만들어 여기에 연결(Create a GPO in this domain, and Link it here)”
- GPO 이름 입력 (예: “Disable Registry Editor”)
1.2 정책 설정 경로
| 설정 유형 | 정책 경로 | 설정명 |
|---|---|---|
| 사용자 정책 | 사용자 구성(User Configuration) → 관리 템플릿(Administrative Templates) → 시스템(System) | 레지스트리 편집 도구에 대한 액세스 금지(Prevent access to registry editing tools) |
| 컴퓨터 정책 | 컴퓨터 구성(Computer Configuration) → 관리 템플릿(Administrative Templates) → 시스템(System) | 레지스트리 편집 도구에 대한 액세스 금지(Prevent access to registry editing tools) |
1.3 정책 설정 단계
- GPO 편집
- 생성한 GPO 우클릭 → “편집(Edit)”
- 정책 경로 이동
사용자 구성(User Configuration) → 정책(Policies) → 관리 템플릿(Administrative Templates) → 시스템(System) - “레지스트리 편집 도구에 대한 액세스 금지(Prevent access to registry editing tools)” 정책 설정
- 정책 더블클릭
- “사용(Enabled)” 선택
- “적용(Apply)” → “확인(OK)”
1.4 고급 설정 옵션
| 설정 항목 | 설명 | 권장값 |
|---|---|---|
| 정책 상태 | 사용(Enabled)/사용 안 함(Disabled)/구성되지 않음(Not Configured) | 사용(Enabled) |
| 적용 범위 | 사용자(User)/컴퓨터(Computer)/둘 다(Both) | 사용자(User) 권장 |
| 보안 필터링 | 특정 그룹에만 적용 | 필요시 설정 |
2. 일부 사용자 레지스트리 편집기(regedit) 사용하도록 예외 처리하는 방법
2.1 관리자 계정 예외 설정
- 보안 필터링(Security Filtering) 수정
- GPO 선택 → “보안 필터링(Security Filtering)” 섹션
- “인증된 사용자(Authenticated Users)” 제거
- 특정 보안 그룹 추가
- 위임 권한(Delegation) 설정
- “고급(Advanced)” 버튼 클릭
- 관리자 그룹에 “거부(Deny)” 권한 부여하지 않음
2.2 OU 기반 예외 처리
| 방법 | 설정 위치 | 효과 |
|---|---|---|
| 상위 OU 차단 해제 | 관리자 OU에서 “정책 상속 차단(Block Inheritance)” | 하위 OU는 정책 적용되지 않음 |
| 개별 GPO 생성 | 관리자 OU에 별도 GPO | “구성되지 않음(Not Configured)” 설정으로 덮어쓰기 |
3. 정책 적용 및 확인
3.1 GPO 연결
- 대상 OU 우클릭 → “기존 GPO 연결(Link an Existing GPO)” → 생성한 GPO 선택
3.2 정책 강제 적용
# 클라이언트에서 실행
gpupdate /force
# 또는 원격으로 적용
Invoke-GPUpdate -Computer "컴퓨터명" -Force
3.3 적용 상태 확인
| 확인 방법 | 명령어/도구 | 결과 확인 |
|---|---|---|
| RSoP 확인 | rsop.msc |
정책 적용 여부 확인 |
| GPResult | gpresult /r |
적용된 정책 목록 |
| 실제 테스트 | regedit 실행 |
오류 메시지 표시 여부 |
3.4 예상 오류 메시지
정책이 올바르게 적용되면 사용자가 regedit 실행 시 다음과 같은 메시지가 표시됩니다:
"레지스트리 편집이 관리자에 의해 사용하지 않도록 설정되었습니다."
4. 자주 접하는 문제 및 해결 방법
4.1 정책이 적용되지 않는 경우
| 원인 | 해결방법 |
|---|---|
| GPO 연결 안됨 | OU에 GPO 연결 상태 확인 |
| 보안 필터링 문제 | “인증된 사용자(Authenticated Users)”가 읽기 권한 있는지 확인 |
| 상속 차단 | OU 정책 상속(Inheritance) 설정 확인 |
| 정책 새로 고침 안됨 | gpupdate /force 실행 |
4.2 부분적으로만 적용되는 경우
- 사용자 정책과 컴퓨터 정책 중 하나만 설정된 경우
- 상위 OU에서 충돌하는 정책이 있는 경우
5. 관련 레지스트리 키
정책 적용 시 다음 레지스트리 키가 생성됩니다:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
6. 참고 자료